Defaults.Exposed

Defaults.Exposed › Rapporter

Felkonfigurationernas Hall of Fame: webbens märkligaste säkerhetsposter (2026)

Publicerad 2026-06-29

Siffror per 2026-06-29 · metodik v7. Aggregerade folkräkningsdata över 261 miljoner betygsatta domäner. Varje siffra nedan är ett verkligt, återkommande mönster — inte ett engångsfall. Se hur vi betygsätter.

De flesta säkerhetsmissar är tråkiga: en inställning som lämnats avstängd. Några är genuint roliga — den digitala motsvarigheten till att överlämna byggnaden med skylten ”INFOGA HYRESGÄSTENS NAMN” fortfarande i fönstret. Vi betygsatte 261 miljoner domäner; här är rekorden som fick oss att titta en gång till.

1. Certifikatet som ingen döpte om

När du genererar ett TLS-certifikat med OpenSSL:s standardfrågor och bara trycker på Enter blir organisationsnamnet en platshållare. Dessa platshållare är tänkta att ersättas innan driftsättning. Det gjordes inte:

”Utfärdat av”-namn på det aktiva certifikatetWebbplatser
Internet Widgits Pty Ltd244,468
MyCompany Inc.226,830
TRAEFIK DEFAULT CERT108,348
localhost106,086

”Internet Widgits Pty Ltd” är det bokstavliga standardvärdet i OpenSSL:s exempelkonfiguration — och 244,468 offentliga webbplatser serverar ett certifikat stämplat med det. Över alla uppenbara platshållar- och standardnamn har 685,732 webbplatser aldrig bytt skylt. Var och en av dem är dessutom självsignerad, så besökare får en webbläsarvarning — de levererar platshållaren och felet.

2. DMARC, förlorad i översättningen

En DMARC-policy fungerar bara om den lyder exakt p=none, p=quarantine eller p=reject. 48,648 domäner publicerade något annat — policyordet felstavat, eller skrivet helt på ett annat språk (livedata inkluderar spanska, franska och portugisiska versioner av ”none”). Avsikten var rätt; den exakta stavningen var det inte — och DMARC accepterar bara det engelska nyckelordet, så alla av dem ger noll skydd. (Fullständig, aktuell lista med antal: internets vanligaste DMARC-stavfel.)

3. SPF:s välkomstmatta

Hela SPF:s uppgift är att ange vilka servrar som får skicka e-post i ditt namn. 36,014 domäner avslutar sin post med +all — vilket betyder precis motsatsen: ”vilken server som helst på internet är behörig att skicka i mitt namn.” Det är säkerhetsmotsvarigheten till att tejpa fast nyckeln på dörren. Ytterligare 7,958 bryter tyst sin SPF genom att överskrida gränsen på 10 DNS-uppslagningar, vilket ogiltigförklarar den helt. (Mer: rapporten om SPF-felkonfiguration.)

4. Hedersomnämnande: de självsignerade miljonerna

Bortom de roliga namnen serverar 3,378,080 webbplatser ett självsignerat certifikat — ett som de utfärdade till sig själva, och som webbläsare avvisar. Vanligtvis en router, en testmaskin eller ett internt verktyg som av misstag pekades mot det offentliga internet och aldrig fick ett riktigt certifikat.

Vad de roliga har gemensamt

Varje post här har samma grundorsak som de tråkiga missarna: ett orört standardvärde, ett överhoppat steg, en oavslutad kopiera-och-klistra. Webben misslyckas inte dramatiskt — den misslyckas av tröghet, en oomdöpt platshållare i taget. Det positiva: var och en av dessa är en femminutersfix.

Vanliga frågor

Varför säger så många certifikat ”Internet Widgits Pty Ltd”? Det är standardorganisationsnamnet i OpenSSL:s exempelkonfiguration. När någon genererar ett certifikat och accepterar standardvärdena hamnar den platshållaren på det aktiva certifikatet. 244,468 offentliga webbplatser bytte det aldrig.

Gör en DMARC-policy på ett annat språk något? Nej. DMARC känner bara igen de exakta nyckelorden none, quarantine och reject. En post med policyordet felstavat eller skrivet på ett annat språk är ogiltig och ignoreras — domänen förblir möjlig att förfalska.

Vad gör SPF +all? Den ger varje server på internet behörighet att skicka e-post i din domäns namn — värre än att inte ha någon SPF alls. 36,014 domäner har det, nästan alltid av misstag.

Är dessa sällsynta specialfall? Nej — var och en omfattar hundratusentals till miljontals domäner, konsekvent funna i en folkräkning av 261 miljoner domäner. Det är vanliga standardvärden, inte konstiga olyckshändelser.

Kontrollera att din domän inte hamnar i nästa utgåva

De flesta av dessa är enradsfixar. Kontrollera din domän privat och gratis — se ditt certifikat, DMARC och SPF precis som internet ser dem.

Kontrollera din domän → · DMARC-stavfel → · Rapport om SPF-felkonfiguration → · Rapporten om certifikatfel → · Endast aggregerade data. Data lagras och behandlas inom EU.